吳明宜有貓入侵台灣政府單位?國家駭客 ToddyCat 駭入微軟 Exchange Server 台灣、越南政府單位曾遇駭
安全廠商卡巴斯基發現一個名為ToddyCat的進階滲透攻擊駭客,從2020年底開始對歐洲及亞洲的高知名度目標進行攻擊,其中台灣和越南最早2020年底就有政府或軍方單位遭駭。
安全廠商卡巴斯基發現一個名為 ToddyCat 的進階滲透攻擊駭客,從 2020 年底開始對歐洲及亞洲的高知名度目標進行攻擊,其中台灣和越南最早 2020 年底就有政府或軍方單位遭駭。
ToddyCat 最早是由斯洛伐克安全廠商 ESET 於 2021 年 3 月發現,並給了別的名字 Websiic。當時這群駭客是利用微軟 Exchange Server 的 ProxyLogon 漏洞取得受害電腦的遠端程式碼執行權,並入 shell 程式 China Chopper。他們從去年 3 月起開始積極利用 Exchange Server ProxyLogon 攻擊歐洲和亞洲國家。
卡巴斯基研究人員推測,ToddyCat 從 2020 年 12 月開始行動,利用當時未知的漏洞,工具攻擊 Exchange Server,並在受害系統中植入 China Chopper webshell,然後啟動多階段感染。
研究人員發現駭入 Exchange Server 的工具包括後門程式 Samurai 及木馬程式 Ninja。這兩種工具都讓駭客得以執行遠端程式碼,控制被感染系統,再在受害者網路內橫向移動。
第一波攻擊中,主要受害組織分布在台灣及越南。之後則擴散到其他目標,包括阿富汗、印度、印尼、馬來西亞、泰國、巴基斯坦、俄羅斯、英國、烏茲別克、吉爾吉斯等國。
受害者包括政府及軍方單位,顯示駭客刻意將目標放在高知名度的組織,藉此達到他們的目的,像是地緣政治利益。但縱然受害者和產業傳統上是中國駭客的常見目標,但研究人員尚未發現確切證據指向 ToddyCat 是中國國家駭客,只能說可能性很大。